Acordo de processamento de dados

1. Introdução e escopo

Este Acordo de Processamento de Dados ("DPA") é incorporado e faz parte dos Termos de Serviço ("Acordo") entre a Strion Inc. ("Empresa", "nós", "nos" ou "nosso") e o cliente ("Cliente", "você" ou "seu") para o uso da plataforma de software como serviço Adrow ("Serviço"). Este DPA se aplica na medida em que processarmos Dados Pessoais do Cliente em seu nome como Processador no curso da prestação do Serviço. Este DPA será efetivo durante a vigência do Acordo.

2. Definições

Termos em maiúsculas usados mas não definidos neste DPA terão os significados estabelecidos no Acordo. Neste DPA, os seguintes termos terão os significados abaixo:

• "Lei de Proteção de Dados Aplicável" significa todas as leis e regulamentos aplicáveis ao processamento de Dados Pessoais sob o Acordo, incluindo mas não se limitando ao Regulamento Geral de Proteção de Dados (UE) 2016/679 ("GDPR").
• "Controlador" tem o significado dado no GDPR.
• "Dados Pessoais do Cliente" significa quaisquer Dados Pessoais que a Empresa processe em nome do Cliente como Processador no curso da prestação do Serviço.
• "Titular dos Dados" tem o significado dado no GDPR.
• "Dados Pessoais" tem o significado dado no GDPR.
• "Processador" tem o significado dado no GDPR.
• "Incidente de Segurança" significa uma violação de segurança levando à destruição, perda, alteração, divulgação ou acesso acidental ou ilegal aos Dados Pessoais do Cliente.
• "Cláusulas Contratuais Padrão" ou "CCPs" significa as cláusulas contratuais padrão para transferência de dados pessoais para países terceiros conforme o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, conforme adotado pela Comissão Europeia.
• "Subprocessador" significa qualquer terceiro contratado pela Empresa para processar Dados Pessoais do Cliente.

3. Funções e responsabilidades

As partes reconhecem e concordam que em relação ao processamento dos Dados Pessoais do Cliente, o Cliente é o Controlador e a Strion Inc. é o Processador. O Cliente será o único responsável por cumprir suas obrigações como Controlador sob a Lei de Proteção de Dados Aplicável, incluindo mas não se limitando à licitude do processamento e à precisão dos Dados Pessoais do Cliente. A Empresa processará os Dados Pessoais do Cliente apenas em nome do Cliente e de acordo com as instruções documentadas do Cliente.

4. Escopo e propósito do processamento

A Empresa processará os Dados Pessoais do Cliente com o único propósito de fornecer, manter e melhorar o Serviço conforme descrito no Acordo. O objeto, duração, natureza e propósito do processamento, bem como os tipos de Dados Pessoais e categorias de Titulares de Dados, são determinados pelo uso do Serviço pelo Cliente.

5. Subprocessamento

O Cliente fornece uma autorização geral para a Empresa contratar Subprocessadores para processar Dados Pessoais do Cliente. A Empresa manterá uma lista dos seus Subprocessadores atuais, que será disponibilizada ao Cliente mediante solicitação. A Empresa notificará o Cliente de quaisquer mudanças pretendidas referentes à adição ou substituição de Subprocessadores, dando assim ao Cliente a oportunidade de se opor a tais mudanças. Se o Cliente tiver uma base razoável para se opor a um novo Subprocessador, as partes negociarão de boa-fé para encontrar uma resolução. A Empresa imporá a seus Subprocessadores obrigações de proteção de dados não menos protetivas que as deste DPA.

6. Direitos dos titulares de dados

Na medida em que o Cliente não consiga acessar independentemente os Dados Pessoais do Cliente relevantes dentro do Serviço, a Empresa fornecerá, considerando a natureza do processamento, assistência razoável ao Cliente para permitir que responda a solicitações dos Titulares de Dados para exercer seus direitos sob a Lei de Proteção de Dados Aplicável. Tal assistência será fornecida às custas exclusivas do Cliente.

7. Medidas de segurança

A Empresa implementará e manterá medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente de Incidentes de Segurança e para preservar a segurança e confidencialidade dos Dados Pessoais do Cliente. Estas medidas são projetadas para prevenir acesso, uso, alteração ou divulgação não autorizados dos Dados Pessoais do Cliente. O Cliente reconhece que estas medidas estão sujeitas ao progresso técnico e desenvolvimento e que a Empresa pode atualizá-las ou modificá-las periodicamente, desde que tais atualizações e modificações não resultem em uma degradação material da segurança geral do Serviço.

8. Notificação de incidentes de segurança

Ao tomar conhecimento de um Incidente de Segurança, a Empresa notificará o Cliente sem demora indevida. A notificação descreverá, na medida do possível, a natureza do Incidente de Segurança, as categorias e número aproximado de Titulares de Dados e registros de Dados Pessoais afetados, as consequências prováveis do Incidente de Segurança e as medidas tomadas ou propostas pela Empresa para abordar o Incidente de Segurança. A notificação ou resposta da Empresa a um Incidente de Segurança sob esta Seção não será interpretada como um reconhecimento por parte da Empresa de culpa ou responsabilidade em relação ao Incidente de Segurança.

9. Transferências internacionais de dados

A Empresa pode transferir e processar Dados Pessoais do Cliente fora do Espaço Econômico Europeu ("EEE"). Na medida em que a transferência de Dados Pessoais do Cliente estiver sujeita ao GDPR e o país de destino não for coberto por uma decisão de adequação da Comissão Europeia, tais transferências serão regidas pelas Cláusulas Contratuais Padrão, que serão consideradas incorporadas a este DPA por referência. O Cliente é considerado como tendo executado as CCPs como "exportador de dados" e a Empresa como "importador de dados".

10. Auditorias

O Cliente pode, mediante solicitação razoável e às suas próprias custas, auditar a conformidade da Empresa com suas obrigações sob este DPA. Para facilitar tal auditoria, a Empresa disponibilizará ao Cliente todas as informações necessárias para demonstrar conformidade, incluindo resumos dos seus relatórios de auditoria de terceiros mais recentes (ex.: SOC 2). Auditorias diretas das instalações ou sistemas da Empresa não são permitidas.

11. Limitação de responsabilidade

A responsabilidade de cada parte decorrente de ou relacionada a este DPA estará sujeita às limitações de responsabilidade estabelecidas no Acordo. A responsabilidade total da Empresa por todas as reclamações do Cliente decorrentes de ou relacionadas a este DPA não excederá o valor total das taxas pagas pelo Cliente à Empresa sob o Acordo nos doze (12) meses anteriores ao evento que deu origem à reclamação.

12. Vigência, encerramento e devolução de dados

Este DPA permanecerá em vigor enquanto a Empresa processar Dados Pessoais do Cliente em nome do Cliente sob o Acordo. Após o encerramento ou expiração do Acordo, a Empresa, à escolha do Cliente, excluirá ou devolverá todos os Dados Pessoais do Cliente ao Cliente, a menos que a lei aplicável exija o armazenamento dos Dados Pessoais. O Cliente pode exportar seus dados do Serviço a qualquer momento durante a vigência do Acordo.